<h1 align="center"> Первый отборочный этап (онлайн). Задание 1 </h1> <br>

## Диагностика сети по этапам проведения атаки 

- [Этап 1. Внешняя разведка](#introduction)
- [Этап 2. Вооружение и Доставка](#features)
- [Этап 3. Эксплуатация](#feedback)

<!-- END doctoc generated TOC please keep comment here to allow auto update -->

## Этап 1. Внешняя разведка

Каждая атака начинается с сбора данных, в нашем случае есть только файл бэкапа сетевых
пакетов компании, открыв файл сразу было видно отправку большого количества SYN пакетов в короткое время, значит было произведено сканирование сети, пользуясь инструментом wireshark составив фильтр по TCP пакетам можно обнаружить какие данные злоумышленники смогли получить в результате TCP анализа портов. На этом этапе уже можно предположить, что злоумышленники находятся в сети

`ip.src == 192.168.0.1 and tcp and tcp.flags == 0x004`

<p align="center">
  <img src="./assets/hacker_tcp_scan_result.png" width="100%">
</p>

### Злоумышленник узнал о таких портах как
* 139 - NetBIOS
* 8080 - Предположу что Apache или второй http
* 25 -SMTP
* 3306 - MySQL
* 443 - SSL (HTTPS)
* 445 - Active Directory
* 80 - HTTP
* 22 - SSH
* 21 - FTP

Отфильтровав запросы по отправителю __ip.src == 192.168.0.1__ и пролистав дальше заметен  запрос GET запрос на /nmaplowercheck1706550372 , значит злоумышленник использовал nmap с флагом -sV. Данная атака слишком агрессивная, что скорее всего у злоумышленника не было времени, либо он недостаточно опытный т.к подозрительный трафик засекли. Как вариант тихого сканирования можно было использовать:
`nmap -sS -T1 --max-rate 2 `


## Этап 2. Вооружение и упаковка

В результате просмотра трафика я обнаружил такие попытки взлома

* Remote File Inclusion
<p align="center">
  <img src="./assets/RFI.png" width="100%">
</p>


* Command Injection
<p align="center">
  <img src="./assets/CommandInjection.png" width="100%">
</p>
<p align="center">
  <img src="./assets/CMDJ.png" width="100%">
</p>


## Эксплуатация

После RFI (remote file inclusion) злоумышленник загрузил RevShell и проник на сервер, получил необходмые данные для авторизации и произвел вход и попал в приватную страницу /bWAPP/portal.php

<p align="center">
  <img src="./assets/auth.png" width="100%">
</p>

## Доп. информация

MAC адреса получателя и отправителя: 

<p align="center">
  <img src="./assets/mac adresses.png" width="100%">
</p>
